N/A

Node.js: All versions prior to Node.js 6.15.0, 8.14.0, 10.14.0 and 11.3.0: Hostname spoofing in URL parser for javascript protocol: If a Node.js application is using url.parse() to determine the URL hostname, that hostname can be spoofed by using a mixed case "javascript:" (e.g. "javAscript:") protocol (other protocols are not affected). If security decisions are made about the URL based on the hostname, they may be incorrect.

N/A

输入的错误解释

Joyent Node.js 输入验证错误漏洞

Joyent Node.js是美国Joyent公司的一套建立在Google V8 JavaScript引擎之上的网络应用平台。该平台主要用于构建高度可伸缩的应用程序，以及编写能够处理数万条且同时连接到一个物理机的连接代码。 Joyent Node.js中用于javascript协议的URL解析器存在输入验证错误漏洞。攻击者可借助大小写混淆的“javascript:”（如“javAscript:”）协议利用该漏洞伪造主机名。以下版本受到影响：Joyent Node.js 6.15.0之前版本，8.14.0之

N/A

N/A